Интрузияны анықтау жүйелеріне кіріспе (IDS)

Интрузияны анықтау жүйесі (IDS) желілік трафикті бақылайды және күдікті әрекеттерге мониторинг жүргізеді және жүйені немесе желі әкімшісін ескертеді. Кейбір жағдайларда, IDS, пайдаланушыға немесе IP-мекен-жайына желіге кіруді бұғаттау сияқты әрекеттерді орындау арқылы ауытқушылыққа немесе зиянды трафикке жауап бере алады.

IDS түрлі «дәмді» келеді және күдікті трафикті әртүрлі жолмен табу мақсатына жақындайды. Желілік (NIDS) және хост-негізделген (HIDS) интрузияны анықтау жүйелері бар. Антивирустық бағдарламалық қамтамасыз ету әдетте зиянды бағдарламадан анықтайтын және қорғайтын әйгілі қауіптердің нақты қолтаңбаларын іздестіруге негізделген IDS-лер бар және базалық сызыққа қарсы трафиктің үлгілерін салыстыру және ауытқуларды іздейтін IDS бар. Сәйкесінше қауіп-қатерге жауап ретінде іс-әрекетті немесе іс-қимылдарды жүзеге асыратын IDS бар және жай ғана мониторинг және ескерту бар IDS бар. Біз олардың әрқайсысын қысқаша баяндаймыз.

NIDS

Network Intrusion Detection Systems желідегі барлық құрылғылардан және трафикті бақылау үшін желінің ішінде стратегиялық нүктеде немесе нүктелерде орналасқан. Ең дұрысы, сіз барлық кіріс және шығыс трафикті сканерлейтін боласыз, бірақ мұны желінің жалпы жылдамдығын төмендететін қиындық тудыруы мүмкін.

HIDS

Хосттың Интрузияны анықтау жүйесі желінің жеке хосттарында немесе құрылғыларында іске қосылады. HIDS компаниясы кіріс және шығыс пакеттерін тек құрылғыдан бақылайды және пайдаланушыны немесе күдікті әрекетті әкімшісін ескертеді

Қолтаңба негізделген

Қолтаңбасы бар IDS желідегі пакеттерді бақылап, оларды белгілі зиянды қауіптерден қолтаңба немесе атрибуттардың дерекқорымен салыстырады. Бұл антивирустық бағдарламалардың көпшілігі зиянды бағдарламаларды анықтайтын тәсілге ұқсас. Мәселе мынада, жабайы табиғатта пайда болған жаңа қауіп пен сіздің IDS-іңізге қатер төніп тұрғандығын анықтау үшін қолтаңбалар арасында кешігу болады. Осы уақыт ішінде сіздің IDS жаңа қауіпті анықтай алмады.

Аномалия негізделген

Аномалияға негізделген IDS желілік трафикті бақылап, оны белгіленген негізге салыстырады. Бастапқы желі осы желі үшін «қалыпты» деген не екенін анықтайды - әдетте қандай жолақ өткізу қабілетін пайдаланады, қандай протоколдар пайдаланылады, қандай порттар мен құрылғылар әдетте бір-бірімен байланысады және трафик анықталғанда әкімшісіне немесе пайдаланушыға ескертеді, немесе бастапқы деңгейден айтарлықтай ерекшеленеді.

Пассивті IDS

Пассивті IDS жай анықтап, ескертеді. Күдікті немесе зиянды трафик анықталғанда, ескерту жасалады және әкімшіге немесе пайдаланушыға жіберіледі және әрекетке тыйым салу немесе қандай да бір жолмен жауап беру үшін әрекет жасайды.

Реактивті IDS

Реактивті IDS тек күдікті немесе зиянды трафикті анықтап қана қоймай, әкімгерді ескертеді, бірақ қауіпке қарсы әрекет ету үшін алдын-ала анықталған белсенді әрекеттерді алады. Әдетте бұл кез-келген қосымша желілік трафикті бастапқы IP-мекен-жайдан немесе пайдаланушыдан бұғаттау.

Ең танымал және кеңінен қолданылатын интрузияны анықтау жүйелерінің бірі ашық көзі, еркін қол жетімді Snort. Ол Linux және Windows сияқты бірнеше платформалар мен операциялық жүйелер үшін қол жетімді. Snort-дің үлкен және адал ниеті бар және интернетте көптеген қорлар бар, онда соңғы қауіптерді анықтау үшін қол қоюға болады. Басқа тегін интрузияны анықтау бағдарламалары үшін, Тегін Intrusion Detection Software бағдарламасына кіруге болады.

Брандмауэр мен IDS арасында жақсы желі бар. Сондай-ақ IPS - Intrusion Prevention System деп аталатын технология бар. IPS негізінен желіні белсенді қорғау үшін желі деңгейі мен қолданба деңгейіндегі сүзгілеуді реактивті IDS арқылы біріктіретін брандмауэр. Уақыт өте келе, брандмауэрлерде болғандықтан, IDS және IPS бір-бірінен көп атрибуттар алады және сызықты одан да көбірек түсіреді.

Шын мәнінде, сіздің брандмауэр - периметрді қорғаудың бірінші желісі. Ең жақсы әдістер сіздің брандмауэрыңыздың барлық кіріс трафикті DENY етіп конфигурациялауды және қажет болғанда тесіктерді ашуды ұсынады. FTP файл серверін орналастыру үшін веб-тораптарды немесе портты 21 орналастыру үшін 80 портты ашу қажет болуы мүмкін. Бұл тесіктердің әрқайсысы бір тұрғыдан қажет болуы мүмкін, бірақ олар желіаралық қалқанмен блокталмай, желіге кіру үшін зиянды трафиктің ықтимал векторларын ұсынады.

Бұл сіздің IDS-іңізге кіреді. NIDS-ті бүкіл желіде немесе HIDS-тің нақты құрылғысында іске қосасыз ба, IDS кіріс және шығыс трафигін бақылайды және күдікті немесе зиянды трафикті анықтайды , ол қандай да бір түрде сіздің брандмауэріңізді немесе сіздің желіңізде де пайда болуы мүмкін.

IDS желіңізді зиянды әрекеттерден белсенді бақылау және қорғау үшін керемет құрал болуы мүмкін, бірақ олар да жалған дабылдарға бейім. Сіз енгізген кез-келген IDS шешімі туралы сіз бірінші рет орнатқаннан кейін оны «баптауыңыз» керек. Сізге желіңіздегі қалыпты трафиктің қайсысы зиянды трафикке қатысты екенін және сізге немесе IDS ескертулеріне жауап беру үшін жауапты әкімшілерге ескертулердің мағынасын және тиімді түрде әрекет етуді түсіну қажет болғанын білу үшін дұрыс IDS қажет.